Vulnérabilités dans IBM Spectrum Protect Plus
Date de publication :
CVE-2021-23337 [Score CVSS v3.1 : 7.2]
Une vulnérabilité au sein du module "lodash" de Node.js. Son exploitation pourrait permettre à un attaquant distant et authentifié d'exécuter des commandes arbitraires sur le système en envoyant une requête spécifique.
CVE-2021-35517 [Score CVSS v3.1 : 7.5]
Une vulnérabilité au sein d’Apache Commons Compress. Cette faille est causée par une erreur de type "out of memory" lors de l'allocation de grandes quantités de mémoire. En persuadant une victime d'ouvrir une archive TAR spécialement conçue, un attaquant distant et non authentifié peut être en mesure d’exploiter cette vulnérabilité afin de provoquer un déni de service.
CVE-2021-36090 [Score CVSS v3.1 : 7.5]
Une vulnérabilité au sein d’Apache Commons Compress. Cette faille est causée par une erreur de type "out of memory" lors de l'allocation de grandes quantités de mémoire. En persuadant une victime d'ouvrir une archive ZIP spécialement conçue, un attaquant distant et non authentifié peut être en mesure d’exploiter cette vulnérabilité afin de provoquer un déni de service.
CVE-2021-22921 [Score CVSS v3.1 : 7.8]
Une vulnérabilité au sein de Node.js. Cette faille est due à une mauvaise configuration des permissions dans le répertoire d'installation. Un attaquant local et non authentifié peut être en mesure de réaliser des attaques par détournement de chemins et de DLL afin d’élever ses privilèges et d’exécuter du code arbitraire.
CVE-2021-21388 [Score CVSS v3.1 : 9.8]
Une vulnérabilité au sein du module ‘systeminformation’ de Node.js. Son exploitation pourrait permettre à un attaquant distant et authentifié d'exécuter des commandes arbitraires sur le système en envoyant une requête spécifique.
CVE-2021-35516 [Score CVSS v3.1 : 7.5]
Une vulnérabilité au sein d’Apache Commons Compress. Cette faille est causée par une erreur de type "out of memory" lors de l'allocation de grandes quantités de mémoire. En persuadant une victime d'ouvrir une archive 7Z spécialement conçue, un attaquant distant et non authentifié peut être en mesure d’exploiter cette vulnérabilité afin de provoquer un déni de service.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Déni de service
- Exécution de code arbitraire
- Atteinte à la confidentialité des données
Criticité
- Scores CVSS v3.1 : 9.8 max
Existence d’un code d’exploitation
- Aucun code d’exploitation n’est disponible publiquement à l’heure actuelle.
Composants vulnérables
- IBM Spectrum Protect Plus de la version 10.1.0 jusqu’à 10.1.8.
CVE
Solutions ou recommandations
Mise en place de correctifs de sécurité
- Mettre à jour le logiciel conformément aux instructions de l’éditeur IBM
Solution de contournement
- Aucune solution de contournement n’est disponible publiquement à l’heure actuelle.